TAAP 線上合約 - 管控者對管控者合約 (包括 SCC)

本《C2C 合約》之原始英文版已翻譯為其他語言。若主合約英文版本與其他翻譯版本不一致或有差異,應以英文版本為準。

範圍:若 Expedia 與您簽訂合約 (可能採用線上點擊生效條款的形式),藉以處理個人資料 (據該合約,您受指定為 TAAP 下的行銷合作夥伴,負責處理與該活動相關的所有相關活動) (此類相關活動於本文稱為「 相關活動」),則此《全球管控者對管控者合約》(下稱「C2C 合約」) 補充並適用於雙方就相關活動簽訂的合約 (下稱「 主合約」),並載有 Expedia 與您各自處理與主合約相關之個人資料的附加條款、要求與條件。於本《C2C 合約》,「Expedia」、「我們」和「本公司」指 Expedia, Inc. 及/或主合約中的其他 Expedia Group 公司。「您」指主合約所述適用範圍中指定的指定實體。

1. 定義與解釋

1.1 本《C2C 合約》受主合約條款拘束,並納入主合約。除本《C2C 合約》另有規定外,主合約的解釋及定義條款適用於本《C2C 合約》的解釋;且

  1. a. 適當的技術性與組織性措施、管控者、個人資料、個人資料外洩、處理、監管機關 (或合理相當的用語) 之意義與相關資料保護法的定義相同;
  2. b. 相關資料保護法」指任何相關司法管轄區中,涉及個人資料之使用或處理的任何適用法律和法規;
  3. c. 許可目的」指 (i) 完成預訂;(ii) 為預訂提供支援;(iii) TAAP 註冊與帳戶管理;(iv) 根據本合約支付佣金和其他款項;(v) 為您產生報告,以及進行主合約服務上相關協調、投訴處理及類似活動所需的進一步處理;(vi) TAAP 帳戶支援;(vii) 與 TAAP 會員及子使用者通訊;(viii) 改善我們的服務,包括最佳化預訂體驗;(ix) 建立報告,用於分析、商業情報和商業報告;(x) 預防詐欺;(xi) 回應執法機關要求及稅務機關稽核要求;(xii) 促進商業資產交易 (可能延伸至合併、收購或資產出售);(xiii) 遵守本公司在主合約、Expedia 的隱私權政策和適用法律下的義務;以及 (xiv) 用於確定、計算、申報旅遊稅以及不時要求的其他適用稅款;
  4. d. DPF 指美國商務部的「歐盟 - 美國資料隱私框架」認證或歐洲委員會 (或其他相關國家機構) 不時核准的任何替代或補充認證機制;包括其他國家所發布,允許將 DPF 延伸至美國和該第三國 (例如但不限於英國和瑞士) 之間的任何補充適足性決定;
  5. e. 限制傳輸國家指歐洲經濟區內的所有國家、瑞士、英國和巴西;
  6. f. 限制傳輸資料指與透過本公司有意使限制傳輸國家旅客存取之銷售點進行的預訂相關旅客資料;
  7. g.《 標準契約條款》/SCC 指 2021 年 6 月 4 日發布並通過核准的關於從歐盟傳輸個人資料至第三國的歐盟委員會《標準契約條款》,暨其不時修訂、替換、補充或取代之版本;完整的現行版本可參見以下連結: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en;以及
  8. h. TAAP 個人資料指您透過 TAAP 網站向我們提供的個人資料,或與 TAAP 本身有關或促進使用 TAAP 網站進行預訂而處理的個人資料。
當事人之關係
  1. 1.2 您與本公司應各自收集與處理個人資料,以履行主合約下的權利義務以及雙方在適用法律下的責任。因此,雙方當事人應:(i) 做為獨立自主的管控者處理個人資料;(ii) 遵守相關資料保護法;以及 (iii) 對其違反相關資料保護法的任何行為或過失負責。
您的責任

1.3 您必須: 

  1. a. 具備向我們提供 TAAP 個人資料,以便為許可目的而進行處理的法律依據;
  2. b. 透過您的隱私權政策及其他適當方式告知旅客,您將與我們共用其個人資料以用於許可目的;
  3. c. 指示旅客閱讀我們的隱私權政策,以進一步了解我們如何處理其個人資料;以及
  4. d. 在我們處理主合約相關 TAAP 個人資料的過程中,與我們合作並提供合理協助,以協助我們遵守相關資料保護法。
本公司之責任

1.4 本公司 (以及本集團成員,若適用) 應: 

  1. a. 僅基於許可目的處理 TAAP 個人資料;
  2. b. 除涉及許可目的外,不向任何人洩露全部或任一部分 TAAP 個人資料;
  3. c. 在您處理主合約相關 TAAP 個人資料的過程中,與您合作並提供合理協助,以協助您遵守相關資料保護法;以及
  4. d. 在 TAAP 網站上顯示並遵守我們最新的合法 Cookie 聲明 (若有需要),以及我們的隱私權政策。
旅客與第三人

1.5 您承認,本公司:

  1. a. 得寄送與預訂相關電子郵件予旅客;
  2. b. 得基於以下目的,將 TAAP 個人資料 (包括銀行資料) 傳輸予我們的服務協力廠商:
    1. i. 經營、管理與支援您和您的代表人及子使用者的 TAAP 帳戶;
    2. ii. 為預訂提供支援;以及
    3. iii. 根據主合約支付佣金和其他款項。
資料安全

1.6 做為管控者:

  1. a. 雙方當事人皆應採行適當的技術性和組織性措施,以保護其處理的個人資料,使資料不致外洩;且
  2. b. 若當事人擁有或控制之系統內的個人資料外洩,且該個人資料外洩 (i) 將影響他方亦根據主合約處理的 TAAP 個人資料;且 (ii) 可向監管機關報告並提供相同的完整詳細資訊,則當事人應盡速通知他方。此時,雙方當事人應以合理方式基於誠信原則合作,以補救或減輕個人資料外洩的影響,且合作所生的合理費用應由個人資料外洩之一方承擔。
跨境傳輸 

1.7 資料隱私框架 (DPF): 您與本公司約定,將您與本公司之間的限制傳輸資料傳輸至美國,或原始限制傳輸國家的相關資料保護法視為不「適足」的國家/地區時,(a) 若 DPF 為相關機關認可的傳輸方法,則 DPF 應為將資料從限制傳輸國家跨境傳輸至位於美國之本公司的約定機制,且 (b) 若 DPF 不是有效的傳輸方法 (包括將限制傳輸資料傳輸至原始限制傳輸國家之相關資料保護法視為不「適足」的國家/地區),則 SCC 應適用於此類傳輸;我們將根據下文第 1.11 條簽訂該條款。若您目前亦持有有效的 DPF 認證,則可同樣地根據 DPF 向您傳輸限制傳輸資料,並以 SCC 為後備機制。

1.8 DPF 承襲義務: 您同意將為限制傳輸資料提供至少與 DPF 要求相同級別的保護;若您確定無法再提供此級別的保護,應立即通知我們。此時,或若我們有理由認定您未依 DPF 要求的標準保護限制傳輸資料,我們得:(a) 指示您採取合理適當的措施來停止並改正未經授權的處理,此時您應立即真誠地與我們合作,確定、同意並實施此類措施;(b) 同意可能適用於相關資料保護法下之處理的替代保護措施;或 (c) 向您發出通知,終止本《C2C 合約》及主合約 (或其中受影響的部分,由我們選擇),且不受處罰。若您目前亦持有有效的 DPF 認證,則視同雙向義務,應適用上述規定和下文第 1.9 條的規定。

1.9 DPF 揭露義務:您承認,我們可能根據美國商務部、聯邦貿易委員會、任何歐洲資料保護機關,或其他美國或歐盟司法或監管機關之要求,向其揭露本《C2C 合約》及主合約中的相關隱私權條款;此類揭露不視為違反保密條款。

1.10 將 SCC 延伸至非限制傳輸國家/地區: 關於您與本公司間 TAAP 個人資料的傳輸,若該資料的來源國家/地區不屬於限制傳輸國家,但根據相關資料保護法,傳輸至來源國之外前,必須遵守其他保護措施 (此類國家/地區稱為「非限制傳輸國家/地區」),則您與本公司同意:(a) 以下第 1.11 條規定的 SCC 應視為延伸至該額外傳輸 (前提為該延伸符合該特定國家/地區的保障措施);及/或 (b) 若第 1.11 條規定的措施不足或需要採取補充措施,則雙方同意採取為遵守相關資料保護法而可能不時所需的其他措施,包括簽署相關文件、收集同意書、進行必要的申請。

1.11 根據上述第 1.7 條,您與本公司特此約定,除以下選項外,不做調整而簽訂 SCC::

  1. a. 若您位於根據限制傳輸國家或 GDPR 第 45 條可視為「適足」的國家/地區,則 SCC 模組一 (1) 僅單向適用於您對 Expedia 的傳輸。否則,SCC 模組一雙向適用於我們對您,以及您對我們的傳輸。
  2. b. 就 SCC 第 11(a) 條而言,刪除選用內容。
  3. c. 就 SCC 第 13 條而言,相關段落為「如附件 I.C 所述,設有歐盟規章 2016/679 第 27(1) 條所稱代表之成員國的監管機關,應擔任主管監督機關。」
  4. d. 就 SCC 第 17 條而言,準據法為愛爾蘭法。
  5. e. 就 SCC 第 18(b) 條而言,管轄地為愛爾蘭。
  6. f. SCC 新增第 19 條,以規範由英國至英國境外的個人資料傳輸,規定如下:

「第 19 條

英國 GDPR 和 2018 年《資料保護法》

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋英國 GDPR 和 2018 年《資料保護法》下之跨境傳輸 (下稱「 英國傳輸」)。就此類英國傳輸而言,《標準契約條款》B1.0 版之〈國際資料傳輸附錄〉(暨其不時修訂、替換、補充或取代之版本) 應依附錄表單之規定予以適用。」

  1. h. SCC 新增第 20 條,以規範由瑞士至瑞士境外的個人資料傳輸,規定如下:

「第 20 條

瑞士 - FADP

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋《聯邦資料保護法》( FADP) 下之跨境傳輸 (於本條稱為「瑞士傳輸」)。就此類瑞士傳輸而言,準據法應視為選定成員國之法律,審判地應為選定成員國之法院,而主管監管機關應為聯邦資料保護與資訊專員 (FDPIC)。雙方進一步同意,就瑞士傳輸而言,若 FCPIC 認為係遵守英國 GDPR 和 FADP 所需,則條款應解釋為進一步變更,且條款應根據該法律或 FDPIC 發布之指引,就瑞士傳輸之要求進行解釋,雙方無需為瑞士傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項,以確保於進行瑞士傳輸時遵守 FADP。」

  1. i. SCC 新增第 21 條,以規範由巴西至巴西境外的個人資料傳輸,規定如下:

「第 21 條

巴西 - LGPD

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋巴西《通用資料保護法》No. 13,709/18 (Lei Geral de Proteção de Dados,「LGPD」) 下之跨境傳輸 (於本條稱為「巴西傳輸」)。就此類巴西傳輸而言,準據法應視為選定成員國之法律,審判地應為選定成員國之法院,而主管監管機關應為巴西國家資料保護局 (ANPD)。雙方進一步同意,就巴西傳輸而言,若 ANPD 認為係遵守 LGPD 所需,則條款應解釋為進一步變更,且條款應根據該法律或 ANPD 或其他相關巴西主管機關發布之指引,就巴西傳輸之要求進行解釋,雙方無需為巴西傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項,以確保於進行巴西傳輸時遵守 LGPD。」

  1. j. SCC 新增第 22 條,以涵蓋來自本文未指定但可延伸適用 SCC 的其他國家/地區的個人資料傳輸,以便於將來自該國家/地區的個人資料傳輸至該國家/地區以外的當事人所在地時,確保適當的保護措施,規定如下:

「第 22 條

其他第三國/地區傳輸

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋相關司法管轄區針對個人資料的使用或處理實施其他適用法律與法規 (相關資料保護法),要求於將個人資料由該國/地區傳輸至其他國家/地區時 (於本條稱為「第三國/地區傳輸」),實施與本條款大致相同之條款和保護之情形下的跨境傳輸。就此類第三國/地區傳輸而言,準據法應視為選定成員國之法律,審判地應為選定成員國之法院,而主管監管機關應為該第三國/地區之資料保護機關或監管機關。雙方進一步同意,就第三國/地區傳輸而言,若該監管機關認為係遵守該第三國/地區之相關資料保護法所需,則條款應解釋為進一步變更,且條款應根據該法律或其他相關監管機關發布之指引,就第三國/地區傳輸之要求進行解釋,雙方無需為第三國/地區傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項,以確保於進行第三國/地區傳輸時,遵守相關資料保護法。」

1.12 本《C2C 合約》附件 1 (SCC 處理概述) 構成 SCC 的附件 1。本《C2C 合約》的附件 2 (技術性與組織性措施) 構成 SCC 的附件 2;若您已提供且我們已接受符合 SCC 附件 2 要求的充分技術和組織措施,則僅適用於 Expedia;若情況並非如此,則附件 2 應解釋為適用於雙方,且所有提及 Expedia 和 Expedia Group 之處亦應相應解釋為提及任一方當事人。本《C2C 合約》的附錄構成 SCC 所稱的「英國附錄」。

附件 I - SCC 處理概述
模組一:管控者對管控者 (您對本公司)
A. 當事人清單

資料匯出者:

當事人

被指稱為「您」、TAAP 會員或同等用語的當事人

地址

依主合約規定

所有 Expedia Group 當事人的聯絡人姓名、職位和聯絡資料

使用不時通知 Expedia 聯絡人之電子郵件地址的客戶經理

與 SCC 下傳輸之資料相關的活動

 

我們根據主合約,透過 TAAP 網站供您使用的預訂

角色

管控者

資料匯入者: 

當事人

合約中指稱為「我們」、「Expedia」或「本公司」的非歐盟當事人

地址

依主合約規定

聯絡人姓名、職務及聯絡資料

使用不時通知 TAAP 會員聯絡人之電子郵件地址的客戶經理

與本條款下傳輸之資料相關的活動

我們根據主合約,透過 TAAP 網站供您使用的預訂

角色

管控者

 

B. 傳輸說明

 

資料主體類別

旅客以及 TAAP 會員暨其子使用者

個人資料之類別

身分資料:

聯絡方式:

財務詳細資訊:

旅遊資訊:預訂記錄和旅遊偏好

若為稅務代理人,僅須提供:

  1. 稅籍編號

TAAP 會員要求並約定的其他資訊,包括但不限於以下方面所需的個人資料:

  1. 報告、監控與分析
  2. 單一登入、會員計畫

敏感資料

無,除非個人自願提供的旅遊無障礙需求。

傳輸頻率 (例如,資料是一次性傳輸抑或連續傳輸)。

視 TAAP 會員業務需求,為持續或臨時

處理性質

為促進下述目的所需的所有處理作業

資料傳輸和進一步處理之目的

主合約定義之允許目的

個人資料的保留期間;若無法確定,則提供決定該期間的標準

根據 Expedia Group 的保留政策,若本公司在主合約終止後,基於備份或法律因素而保留任何 TAAP 個人資料,則 Expedia 將繼續根據主合約保護該個人資料

若傳輸予 (子) 處理者,亦需指定處理的主旨、性質和持續時間

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List,其可能不時更新

 

C. 主管監管機關

根據 SCC 第 13 條指定主管監管機關

愛爾蘭資料保護局

 

模組一:管控者對管控者 (本公司對您)

A. 當事人清單

資料匯出者: 

上述模組一 (1) (您對本公司) 中指定為資料匯入者的一方。詳情如前所述。

 

資料匯入者:

上述模組一 (1) (您對本公司) 中指定為資料匯出者的一方。詳情如前所述。

B. 傳輸說明
  • 資料主體類別
  • 個人資料之類別
  • 敏感資料

見模組一 (1)

  • 傳輸頻率
  • 處理性質
  • 目的

見模組一 (1)

個人資料的保留期間;若無法確定,則提供決定該期間的標準

依 TAAP 會員的保留政策

若傳輸予 (子) 處理者,亦需指定處理的主旨、性質和持續時間

不適用

 

C. 主管監管機關

見模組一 (1)

 

附件 II - 技術性與組織性措施 

就模組一 (1) 而言,適用的技術性與組織性措施如下。

主旨

措施

個人資料的假名化和加密措施

  • 針對根據 Expedia Group 資訊分類與處理標準進行的資料傳輸,Expedia Group 支援行業標準加密通訊協定。
  • 資料處理要求以分類為基礎。根據要處理的資料,Expedia Group 制定了不同的安全要求。例如,信用卡資料視為「高度敏感」,在傳輸過程中和靜態時都必須進行加密。
  • 可行時,Expedia Group 將根據其資訊、分類與處理標準的要求,對旅客 (及其員工) 的個人資料進行假名處理 (和匿名處理)。
  • 信用卡號碼將記號化/假名化,以消除對明文信用卡號碼的處理。
  • Expedia Group 透過 VPN、SSL 等方式使用加密連線,並實施多重要素驗證機制。

確保處理系統和服務維持機密性、完整性、可用性和彈性的措施

  • 對於所有資訊處理設施,Expedia Group 的管理和營運有明確的責任歸屬和程序,以確保資料處理完整、有效而準確。
  • 我們會監控關鍵處理設施,透過強大的 SOX 計畫對資料處理和完整性的控制進行持續測試和驗證。
  • 我們對 Expedia Group 系統實施了行業標準記錄和監控措施,以防範未經授權的存取、修改及/或刪除。
  • Expedia Group 透過備援架構、資料複製和完整性檢查來保持服務彈性。

發生人身安全上或技術性意外事件時,確保及時恢復個人資料可用性和存取權限的措施

  • Expedia Group 的系統經過專門設計,可阻止或防範常見攻擊,並確保作業、監控和維護的可用性。為此,Expedia Group 會定期進行模擬測試和稽核,以確認其系統持續可用。
  • 伺服器會根據 Expedia Group 強大的修補規定進行修復,並受到行業標準 AV/AM 計畫的保護。此外,我們也會進行漏洞評估、全面測試和網路審查,以確保 Expedia Group 的系統得到維護。
  • 我們實施了可用性和可靠性監控,以確保 Expedia 網站持續在線上,並盡可能減少服務中斷。
  • Expedia Group 根據嚴重程度制定了因應緊急情況的災難復原計畫,以及可確保客戶服務不間斷的應變方案,以,並定期進行測試以確保可行性。

定期測試、評估和評等技術性和組織性措施的有效性,以確保處理安全性的程序。

  • Expedia Group 每年都會透過外部評估員以及嚴格的內部測試,稽核技術性與組織性措施。
  • Expedia Group 會委託第三方評估機構進行年度 PCI 評估,並確保持續遵守 PCI。
  • Expedia Group 全方位的內部測試功能包括季度漏洞測試、內部和外部滲透測試,以及網路、系統和防火牆掃描和檢查。此外,內部稽核部門每年都會進行風險評估,以安排營運稽核的優先順位。

使用者識別與授權措施;傳輸期間資料保護措施;儲存期間資料保護措施

  • Expedia Group 系統符合行業最佳做法,並實施了逾時工作階段、鎖定通訊協定、強大的密碼和驗證控制等通訊措施。
  • Expedia Group 訂有帳戶佈建和監督要求,以防止未經授權者存取或濫用 Expedia Group 資訊,並將視需要採用行業最佳做法,例如最低權限存取原則、唯一 ID 和多重要素驗證,以強化驗證。

確保個人資料處理地點之實體環境安全的措施

  • 安全營運中心全天候運作,並至少每年審查和測試正式的事件應變計畫。
  • 所有系統都由外部服務供應商定期管控和測試。
  • 所有 Expedia Group 旅客都有專屬 ID。旅客的所有資料集都儲存在該 ID 之下,且所有旅客資料都在邏輯上隔離。基於管理權限和資料庫架構,旅客只能存取分配至該使用者 ID 和資料中心/AWS 控制項的資料集。
  • 只有獲得 Expedia 明確授權且「有了解必要」的人員,才能存取個人資料。我們實施了管控和監控措施,以確保對系統的最低權限存取並防範未經授權的存取嘗試。

確保事件記錄的措施

  • Expedia Group 有強大的記錄和監控要求,以記錄事件的人物、內容、地點、時間、目標、來源以及成敗。

確保系統設定的措施,包括預設設定;內部 IT 和 IT 安全治理與管理措施;程序與產品的認證/保證措施

  • Expedia Group 的資訊安全計畫符合行業框架與標準,透過其風險管理計畫確保安全狀況穩健且面面俱到。Expedia Group 定有安全營運程序,可支援環境和旅客資料的安全性、可用性、完整性和機密性。
  • Expedia Group 的建構標準僅支援業務所需的系統元件、服務和通訊協定。作業系統、資料庫和現成應用程式必須可進行證據開示,以滿足法律和監管稽核要求;支援設定管理工具,或部署成功執行安全管控措施的設定管理;必須為系統的所有遠端管理存取啟用加密;顯示系統的正確使用;系統受到監控以偵測不當使用和其他非法活動,使用系統時不應期待自身隱私會受到保護。
  • Expedia Group 對安全採取分層/縱深防禦策略。企業具備關鍵功能和管控措施 (例如反惡意軟體、WAF、網路分段、DLP 等),利用一套政策、作業和技術來確保透過中央安全組織監控環境並相應回應警報。
  • Expedia 的系統由 Amazon Web Services (AWS) 以及為 Expedia Group 提供年度 SOC 2 報告的資料中心代管,以確保合規性。

確保資料最小化的措施;確保資料品質的措施;確保有限保留資料的措施;確立問責的措施

  • 最小化:Expedia Group 僅收集、處理和儲存最少量的資料。我們僅在必要時使用可識別的格式。
  • 保留:Expedia Group 資料保留政策根據資料類別規定了不同的保留期間和備份方式,包括要求保留資料至特定法律義務 (例如稅務和會計目的) 消滅為止的法律義務或其他豁免規定。
  • 品質:Expedia Group 訂有正式的品質管理計畫,即旅客體驗管理 (CEM) 計畫。我們始終致力於改善 Expedia Group 的環境,並尋求簡化流程以提高效率,為我們的合作夥伴、客戶和旅客提供一致、優質的服務和互動。
  • 問責:Expedia Group 會制定正式的治理計畫並設立法務/隱私部門,一貫實施政策、行業法規/框架和法律要求,以確保問責監督。

允許資料可攜性和確保刪除的措施

  • Expedia Group 直接對資料保護法規 (包括與資料主體的要求相關的法律) 的狀況負責。Expedia Group 會根據相關資料保護法,回應所有資料主體要求,包括存取、刪除和可攜性。
  • Expedia Group 的資料保留政策根據資料類別規定了不同的保留期間和備份方式,包括要求保留資料至特定法律義務 (例如稅務和會計目的) 消滅為止的法律義務或其他豁免規定。若 Expedia Group 無法銷毀個人資料,Expedia Group 應繼續採用當事人間管理該個人資料之合約的相關保護措施,並終止進一步的處理。

傳輸至 (輔助) 處理者時,亦應說明 (輔助) 處理者為協助管控者以及 (由處理者轉輸至輔助處理者時) 資料匯出者而應採取的具體技術性和組織性措施,

  • Expedia Group 會對供應商的資訊安全實務進行盡職調查,並要求供應商滿足全方位的安全要求,包括應採取並維護適當的技術性和組織性措施。
  • Expedia Group 已正式實施詳細的安全影響評估 (下稱「SIA」) 程序。我們會在委任前以及委託期間內 (如有必要),篩選所有存取資料的新供應商。
  • 此外,Expedia Group 也為所有供應商制定了嚴格的供應商處理者條款,確保輔助處理者承襲本公司的義務。

 

歐盟委員會《標準契約條款》國際資料傳輸附錄

本附錄由資訊專員發布,適用於進行限制傳輸的當事人。資訊專員認為,簽訂為具法律拘束力的契約時,其為限制傳輸提供了適當的保障措施。

第 1 部分 表格

表 1:當事人

開始日期

檢附本附錄之 SCC ( 歐盟 SCC) 的日期。

當事人

主要聯絡人

匯出者:參見歐盟 SCC。

 

匯入者:參見歐盟 SCC。

 

表 2:選定之 SCC、模組和選定之條款

歐盟 SCC 附錄

經過核准並檢附本附錄之歐盟 SCC 的版本。

表 3:附錄資訊

附錄資訊」指必須為經核准之歐盟 SCC 附錄所列的選定模組提供 (「當事人」除外),且為本附錄所要求的資訊:

附件 IA:當事人名單

附件 IB:傳輸說明

附件 II:技術性與組織性措施

參見歐盟 SCC

表 4:經核准之附錄變更時終止本附錄

哪些當事人可按照第 19 節規定終止本附錄

第 3 部分: 強制條款

經核准之附錄的強制條款為 ICO 發布的附錄 B.1.0 範本,根據強制條款第 18 條進行修訂,並根據 2018 年《資料保護法》第 119A 條,於 2022 年 2 月 2 日提交國會審理。

 

TAAP 線上合約 - 管控者對管控者合約 (包括 SCC)

本《C2C 合約》之原始英文版已翻譯為其他語言。若主合約英文版本與其他翻譯版本不一致或有差異,應以英文版本為準。

範圍:若 Expedia 與您簽訂合約 (可能採用線上點擊生效條款的形式),藉以處理個人資料 (據該合約,您受指定為 TAAP 下的行銷合作夥伴,負責處理與該活動相關的所有相關活動) (此類相關活動於本文稱為「 相關活動」),則此《全球管控者對管控者合約》(下稱「C2C 合約」) 補充並適用於雙方就相關活動簽訂的合約 (下稱「 主合約」),並載有 Expedia 與您各自處理與主合約相關之個人資料的附加條款、要求與條件。於本《C2C 合約》,「Expedia」、「我們」和「本公司」指 Expedia, Inc. 及/或主合約中的其他 Expedia Group 公司。「您」指主合約所述適用範圍中指定的指定實體。

1. 定義與解釋

1.1 本《C2C 合約》受主合約條款拘束,並納入主合約。除本《C2C 合約》另有規定外,主合約的解釋及定義條款適用於本《C2C 合約》的解釋;且

  1. a. 適當的技術性與組織性措施、管控者、個人資料、個人資料外洩、處理、監管機關 (或合理相當的用語) 之意義與相關資料保護法的定義相同;
  2. b. 相關資料保護法」指任何相關司法管轄區中,涉及個人資料之使用或處理的任何適用法律和法規;
  3. c. 許可目的」指 (i) 完成預訂;(ii) 為預訂提供支援;(iii) TAAP 註冊與帳戶管理;(iv) 根據本合約支付佣金和其他款項;(v) 為您產生報告,以及進行主合約服務上相關協調、投訴處理及類似活動所需的進一步處理;(vi) TAAP 帳戶支援;(vii) 與 TAAP 會員及子使用者通訊;(viii) 改善我們的服務,包括最佳化預訂體驗;(ix) 建立報告,用於分析、商業情報和商業報告;(x) 預防詐欺;(xi) 回應執法機關要求及稅務機關稽核要求;(xii) 促進商業資產交易 (可能延伸至合併、收購或資產出售);(xiii) 遵守本公司在主合約、Expedia 的隱私權政策和適用法律下的義務;以及 (xiv) 用於確定、計算、申報旅遊稅以及不時要求的其他適用稅款;
  4. d. DPF 指美國商務部的「歐盟 - 美國資料隱私框架」認證或歐洲委員會 (或其他相關國家機構) 不時核准的任何替代或補充認證機制;包括其他國家所發布,允許將 DPF 延伸至美國和該第三國 (例如但不限於英國和瑞士) 之間的任何補充適足性決定;
  5. e. 限制傳輸國家指歐洲經濟區內的所有國家、瑞士、英國和巴西;
  6. f. 限制傳輸資料指與透過本公司有意使限制傳輸國家旅客存取之銷售點進行的預訂相關旅客資料;
  7. g.《 標準契約條款》/SCC 指 2021 年 6 月 4 日發布並通過核准的關於從歐盟傳輸個人資料至第三國的歐盟委員會《標準契約條款》,暨其不時修訂、替換、補充或取代之版本;完整的現行版本可參見以下連結: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en;以及
  8. h. TAAP 個人資料指您透過 TAAP 網站向我們提供的個人資料,或與 TAAP 本身有關或促進使用 TAAP 網站進行預訂而處理的個人資料。
當事人之關係
  1. 1.2 您與本公司應各自收集與處理個人資料,以履行主合約下的權利義務以及雙方在適用法律下的責任。因此,雙方當事人應:(i) 做為獨立自主的管控者處理個人資料;(ii) 遵守相關資料保護法;以及 (iii) 對其違反相關資料保護法的任何行為或過失負責。
您的責任

1.3 您必須: 

  1. a. 具備向我們提供 TAAP 個人資料,以便為許可目的而進行處理的法律依據;
  2. b. 透過您的隱私權政策及其他適當方式告知旅客,您將與我們共用其個人資料以用於許可目的;
  3. c. 指示旅客閱讀我們的隱私權政策,以進一步了解我們如何處理其個人資料;以及
  4. d. 在我們處理主合約相關 TAAP 個人資料的過程中,與我們合作並提供合理協助,以協助我們遵守相關資料保護法。
本公司之責任

1.4 本公司 (以及本集團成員,若適用) 應: 

  1. a. 僅基於許可目的處理 TAAP 個人資料;
  2. b. 除涉及許可目的外,不向任何人洩露全部或任一部分 TAAP 個人資料;
  3. c. 在您處理主合約相關 TAAP 個人資料的過程中,與您合作並提供合理協助,以協助您遵守相關資料保護法;以及
  4. d. 在 TAAP 網站上顯示並遵守我們最新的合法 Cookie 聲明 (若有需要),以及我們的隱私權政策。
旅客與第三人

1.5 您承認,本公司:

  1. a. 得寄送與預訂相關電子郵件予旅客;
  2. b. 得基於以下目的,將 TAAP 個人資料 (包括銀行資料) 傳輸予我們的服務協力廠商:
    1. i. 經營、管理與支援您和您的代表人及子使用者的 TAAP 帳戶;
    2. ii. 為預訂提供支援;以及
    3. iii. 根據主合約支付佣金和其他款項。
資料安全

1.6 做為管控者:

  1. a. 雙方當事人皆應採行適當的技術性和組織性措施,以保護其處理的個人資料,使資料不致外洩;且
  2. b. 若當事人擁有或控制之系統內的個人資料外洩,且該個人資料外洩 (i) 將影響他方亦根據主合約處理的 TAAP 個人資料;且 (ii) 可向監管機關報告並提供相同的完整詳細資訊,則當事人應盡速通知他方。此時,雙方當事人應以合理方式基於誠信原則合作,以補救或減輕個人資料外洩的影響,且合作所生的合理費用應由個人資料外洩之一方承擔。
跨境傳輸 

1.7 資料隱私框架 (DPF): 您與本公司約定,將您與本公司之間的限制傳輸資料傳輸至美國,或原始限制傳輸國家的相關資料保護法視為不「適足」的國家/地區時,(a) 若 DPF 為相關機關認可的傳輸方法,則 DPF 應為將資料從限制傳輸國家跨境傳輸至位於美國之本公司的約定機制,且 (b) 若 DPF 不是有效的傳輸方法 (包括將限制傳輸資料傳輸至原始限制傳輸國家之相關資料保護法視為不「適足」的國家/地區),則 SCC 應適用於此類傳輸;我們將根據下文第 1.11 條簽訂該條款。若您目前亦持有有效的 DPF 認證,則可同樣地根據 DPF 向您傳輸限制傳輸資料,並以 SCC 為後備機制。

1.8 DPF 承襲義務: 您同意將為限制傳輸資料提供至少與 DPF 要求相同級別的保護;若您確定無法再提供此級別的保護,應立即通知我們。此時,或若我們有理由認定您未依 DPF 要求的標準保護限制傳輸資料,我們得:(a) 指示您採取合理適當的措施來停止並改正未經授權的處理,此時您應立即真誠地與我們合作,確定、同意並實施此類措施;(b) 同意可能適用於相關資料保護法下之處理的替代保護措施;或 (c) 向您發出通知,終止本《C2C 合約》及主合約 (或其中受影響的部分,由我們選擇),且不受處罰。若您目前亦持有有效的 DPF 認證,則視同雙向義務,應適用上述規定和下文第 1.9 條的規定。

1.9 DPF 揭露義務:您承認,我們可能根據美國商務部、聯邦貿易委員會、任何歐洲資料保護機關,或其他美國或歐盟司法或監管機關之要求,向其揭露本《C2C 合約》及主合約中的相關隱私權條款;此類揭露不視為違反保密條款。

1.10 將 SCC 延伸至非限制傳輸國家/地區: 關於您與本公司間 TAAP 個人資料的傳輸,若該資料的來源國家/地區不屬於限制傳輸國家,但根據相關資料保護法,傳輸至來源國之外前,必須遵守其他保護措施 (此類國家/地區稱為「非限制傳輸國家/地區」),則您與本公司同意:(a) 以下第 1.11 條規定的 SCC 應視為延伸至該額外傳輸 (前提為該延伸符合該特定國家/地區的保障措施);及/或 (b) 若第 1.11 條規定的措施不足或需要採取補充措施,則雙方同意採取為遵守相關資料保護法而可能不時所需的其他措施,包括簽署相關文件、收集同意書、進行必要的申請。

1.11 根據上述第 1.7 條,您與本公司特此約定,除以下選項外,不做調整而簽訂 SCC::

  1. a. 若您位於根據限制傳輸國家或 GDPR 第 45 條可視為「適足」的國家/地區,則 SCC 模組一 (1) 僅單向適用於您對 Expedia 的傳輸。否則,SCC 模組一雙向適用於我們對您,以及您對我們的傳輸。
  2. b. 就 SCC 第 11(a) 條而言,刪除選用內容。
  3. c. 就 SCC 第 13 條而言,相關段落為「如附件 I.C 所述,設有歐盟規章 2016/679 第 27(1) 條所稱代表之成員國的監管機關,應擔任主管監督機關。」
  4. d. 就 SCC 第 17 條而言,準據法為愛爾蘭法。
  5. e. 就 SCC 第 18(b) 條而言,管轄地為愛爾蘭。
  6. f. SCC 新增第 19 條,以規範由英國至英國境外的個人資料傳輸,規定如下:

「第 19 條

英國 GDPR 和 2018 年《資料保護法》

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋英國 GDPR 和 2018 年《資料保護法》下之跨境傳輸 (下稱「 英國傳輸」)。就此類英國傳輸而言,《標準契約條款》B1.0 版之〈國際資料傳輸附錄〉(暨其不時修訂、替換、補充或取代之版本) 應依附錄表單之規定予以適用。」

  1. h. SCC 新增第 20 條,以規範由瑞士至瑞士境外的個人資料傳輸,規定如下:

「第 20 條

瑞士 - FADP

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋《聯邦資料保護法》( FADP) 下之跨境傳輸 (於本條稱為「瑞士傳輸」)。就此類瑞士傳輸而言,準據法應視為選定成員國之法律,審判地應為選定成員國之法院,而主管監管機關應為聯邦資料保護與資訊專員 (FDPIC)。雙方進一步同意,就瑞士傳輸而言,若 FCPIC 認為係遵守英國 GDPR 和 FADP 所需,則條款應解釋為進一步變更,且條款應根據該法律或 FDPIC 發布之指引,就瑞士傳輸之要求進行解釋,雙方無需為瑞士傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項,以確保於進行瑞士傳輸時遵守 FADP。」

  1. i. SCC 新增第 21 條,以規範由巴西至巴西境外的個人資料傳輸,規定如下:

「第 21 條

巴西 - LGPD

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋巴西《通用資料保護法》No. 13,709/18 (Lei Geral de Proteção de Dados,「LGPD」) 下之跨境傳輸 (於本條稱為「巴西傳輸」)。就此類巴西傳輸而言,準據法應視為選定成員國之法律,審判地應為選定成員國之法院,而主管監管機關應為巴西國家資料保護局 (ANPD)。雙方進一步同意,就巴西傳輸而言,若 ANPD 認為係遵守 LGPD 所需,則條款應解釋為進一步變更,且條款應根據該法律或 ANPD 或其他相關巴西主管機關發布之指引,就巴西傳輸之要求進行解釋,雙方無需為巴西傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項,以確保於進行巴西傳輸時遵守 LGPD。」

  1. j. SCC 新增第 22 條,以涵蓋來自本文未指定但可延伸適用 SCC 的其他國家/地區的個人資料傳輸,以便於將來自該國家/地區的個人資料傳輸至該國家/地區以外的當事人所在地時,確保適當的保護措施,規定如下:

「第 22 條

其他第三國/地區傳輸

雙方同意,涉及相關傳輸作業時,本條款應延伸適用,以涵蓋相關司法管轄區針對個人資料的使用或處理實施其他適用法律與法規 (相關資料保護法),要求於將個人資料由該國/地區傳輸至其他國家/地區時 (於本條稱為「第三國/地區傳輸」),實施與本條款大致相同之條款和保護之情形下的跨境傳輸。就此類第三國/地區傳輸而言,準據法應視為選定成員國之法律,審判地應為選定成員國之法院,而主管監管機關應為該第三國/地區之資料保護機關或監管機關。雙方進一步同意,就第三國/地區傳輸而言,若該監管機關認為係遵守該第三國/地區之相關資料保護法所需,則條款應解釋為進一步變更,且條款應根據該法律或其他相關監管機關發布之指引,就第三國/地區傳輸之要求進行解釋,雙方無需為第三國/地區傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項,以確保於進行第三國/地區傳輸時,遵守相關資料保護法。」

1.12 本《C2C 合約》附件 1 (SCC 處理概述) 構成 SCC 的附件 1。本《C2C 合約》的附件 2 (技術性與組織性措施) 構成 SCC 的附件 2;若您已提供且我們已接受符合 SCC 附件 2 要求的充分技術和組織措施,則僅適用於 Expedia;若情況並非如此,則附件 2 應解釋為適用於雙方,且所有提及 Expedia 和 Expedia Group 之處亦應相應解釋為提及任一方當事人。本《C2C 合約》的附錄構成 SCC 所稱的「英國附錄」。

附件 I - SCC 處理概述
模組一:管控者對管控者 (您對本公司)
A. 當事人清單

資料匯出者:

當事人

被指稱為「您」、TAAP 會員或同等用語的當事人

地址

依主合約規定

所有 Expedia Group 當事人的聯絡人姓名、職位和聯絡資料

使用不時通知 Expedia 聯絡人之電子郵件地址的客戶經理

與 SCC 下傳輸之資料相關的活動

 

我們根據主合約,透過 TAAP 網站供您使用的預訂

角色

管控者

資料匯入者: 

當事人

合約中指稱為「我們」、「Expedia」或「本公司」的非歐盟當事人

地址

依主合約規定

聯絡人姓名、職務及聯絡資料

使用不時通知 TAAP 會員聯絡人之電子郵件地址的客戶經理

與本條款下傳輸之資料相關的活動

我們根據主合約,透過 TAAP 網站供您使用的預訂

角色

管控者

 

B. 傳輸說明

 

資料主體類別

旅客以及 TAAP 會員暨其子使用者

個人資料之類別

身分資料:

聯絡方式:

財務詳細資訊:

旅遊資訊:預訂記錄和旅遊偏好

若為稅務代理人,僅須提供:

  1. 稅籍編號

TAAP 會員要求並約定的其他資訊,包括但不限於以下方面所需的個人資料:

  1. 報告、監控與分析
  2. 單一登入、會員計畫

敏感資料

無,除非個人自願提供的旅遊無障礙需求。

傳輸頻率 (例如,資料是一次性傳輸抑或連續傳輸)。

視 TAAP 會員業務需求,為持續或臨時

處理性質

為促進下述目的所需的所有處理作業

資料傳輸和進一步處理之目的

主合約定義之允許目的

個人資料的保留期間;若無法確定,則提供決定該期間的標準

根據 Expedia Group 的保留政策,若本公司在主合約終止後,基於備份或法律因素而保留任何 TAAP 個人資料,則 Expedia 將繼續根據主合約保護該個人資料

若傳輸予 (子) 處理者,亦需指定處理的主旨、性質和持續時間

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List,其可能不時更新

 

C. 主管監管機關

根據 SCC 第 13 條指定主管監管機關

愛爾蘭資料保護局

 

模組一:管控者對管控者 (本公司對您)

A. 當事人清單

資料匯出者: 

上述模組一 (1) (您對本公司) 中指定為資料匯入者的一方。詳情如前所述。

 

資料匯入者:

上述模組一 (1) (您對本公司) 中指定為資料匯出者的一方。詳情如前所述。

B. 傳輸說明
  • 資料主體類別
  • 個人資料之類別
  • 敏感資料

見模組一 (1)

  • 傳輸頻率
  • 處理性質
  • 目的

見模組一 (1)

個人資料的保留期間;若無法確定,則提供決定該期間的標準

依 TAAP 會員的保留政策

若傳輸予 (子) 處理者,亦需指定處理的主旨、性質和持續時間

不適用

 

C. 主管監管機關

見模組一 (1)

 

附件 II - 技術性與組織性措施 

就模組一 (1) 而言,適用的技術性與組織性措施如下。

主旨

措施

個人資料的假名化和加密措施

  • 針對根據 Expedia Group 資訊分類與處理標準進行的資料傳輸,Expedia Group 支援行業標準加密通訊協定。
  • 資料處理要求以分類為基礎。根據要處理的資料,Expedia Group 制定了不同的安全要求。例如,信用卡資料視為「高度敏感」,在傳輸過程中和靜態時都必須進行加密。
  • 可行時,Expedia Group 將根據其資訊、分類與處理標準的要求,對旅客 (及其員工) 的個人資料進行假名處理 (和匿名處理)。
  • 信用卡號碼將記號化/假名化,以消除對明文信用卡號碼的處理。
  • Expedia Group 透過 VPN、SSL 等方式使用加密連線,並實施多重要素驗證機制。

確保處理系統和服務維持機密性、完整性、可用性和彈性的措施

  • 對於所有資訊處理設施,Expedia Group 的管理和營運有明確的責任歸屬和程序,以確保資料處理完整、有效而準確。
  • 我們會監控關鍵處理設施,透過強大的 SOX 計畫對資料處理和完整性的控制進行持續測試和驗證。
  • 我們對 Expedia Group 系統實施了行業標準記錄和監控措施,以防範未經授權的存取、修改及/或刪除。
  • Expedia Group 透過備援架構、資料複製和完整性檢查來保持服務彈性。

發生人身安全上或技術性意外事件時,確保及時恢復個人資料可用性和存取權限的措施

  • Expedia Group 的系統經過專門設計,可阻止或防範常見攻擊,並確保作業、監控和維護的可用性。為此,Expedia Group 會定期進行模擬測試和稽核,以確認其系統持續可用。
  • 伺服器會根據 Expedia Group 強大的修補規定進行修復,並受到行業標準 AV/AM 計畫的保護。此外,我們也會進行漏洞評估、全面測試和網路審查,以確保 Expedia Group 的系統得到維護。
  • 我們實施了可用性和可靠性監控,以確保 Expedia 網站持續在線上,並盡可能減少服務中斷。
  • Expedia Group 根據嚴重程度制定了因應緊急情況的災難復原計畫,以及可確保客戶服務不間斷的應變方案,以,並定期進行測試以確保可行性。

定期測試、評估和評等技術性和組織性措施的有效性,以確保處理安全性的程序。

  • Expedia Group 每年都會透過外部評估員以及嚴格的內部測試,稽核技術性與組織性措施。
  • Expedia Group 會委託第三方評估機構進行年度 PCI 評估,並確保持續遵守 PCI。
  • Expedia Group 全方位的內部測試功能包括季度漏洞測試、內部和外部滲透測試,以及網路、系統和防火牆掃描和檢查。此外,內部稽核部門每年都會進行風險評估,以安排營運稽核的優先順位。

使用者識別與授權措施;傳輸期間資料保護措施;儲存期間資料保護措施

  • Expedia Group 系統符合行業最佳做法,並實施了逾時工作階段、鎖定通訊協定、強大的密碼和驗證控制等通訊措施。
  • Expedia Group 訂有帳戶佈建和監督要求,以防止未經授權者存取或濫用 Expedia Group 資訊,並將視需要採用行業最佳做法,例如最低權限存取原則、唯一 ID 和多重要素驗證,以強化驗證。

確保個人資料處理地點之實體環境安全的措施

  • 安全營運中心全天候運作,並至少每年審查和測試正式的事件應變計畫。
  • 所有系統都由外部服務供應商定期管控和測試。
  • 所有 Expedia Group 旅客都有專屬 ID。旅客的所有資料集都儲存在該 ID 之下,且所有旅客資料都在邏輯上隔離。基於管理權限和資料庫架構,旅客只能存取分配至該使用者 ID 和資料中心/AWS 控制項的資料集。
  • 只有獲得 Expedia 明確授權且「有了解必要」的人員,才能存取個人資料。我們實施了管控和監控措施,以確保對系統的最低權限存取並防範未經授權的存取嘗試。

確保事件記錄的措施

  • Expedia Group 有強大的記錄和監控要求,以記錄事件的人物、內容、地點、時間、目標、來源以及成敗。

確保系統設定的措施,包括預設設定;內部 IT 和 IT 安全治理與管理措施;程序與產品的認證/保證措施

  • Expedia Group 的資訊安全計畫符合行業框架與標準,透過其風險管理計畫確保安全狀況穩健且面面俱到。Expedia Group 定有安全營運程序,可支援環境和旅客資料的安全性、可用性、完整性和機密性。
  • Expedia Group 的建構標準僅支援業務所需的系統元件、服務和通訊協定。作業系統、資料庫和現成應用程式必須可進行證據開示,以滿足法律和監管稽核要求;支援設定管理工具,或部署成功執行安全管控措施的設定管理;必須為系統的所有遠端管理存取啟用加密;顯示系統的正確使用;系統受到監控以偵測不當使用和其他非法活動,使用系統時不應期待自身隱私會受到保護。
  • Expedia Group 對安全採取分層/縱深防禦策略。企業具備關鍵功能和管控措施 (例如反惡意軟體、WAF、網路分段、DLP 等),利用一套政策、作業和技術來確保透過中央安全組織監控環境並相應回應警報。
  • Expedia 的系統由 Amazon Web Services (AWS) 以及為 Expedia Group 提供年度 SOC 2 報告的資料中心代管,以確保合規性。

確保資料最小化的措施;確保資料品質的措施;確保有限保留資料的措施;確立問責的措施

  • 最小化:Expedia Group 僅收集、處理和儲存最少量的資料。我們僅在必要時使用可識別的格式。
  • 保留:Expedia Group 資料保留政策根據資料類別規定了不同的保留期間和備份方式,包括要求保留資料至特定法律義務 (例如稅務和會計目的) 消滅為止的法律義務或其他豁免規定。
  • 品質:Expedia Group 訂有正式的品質管理計畫,即旅客體驗管理 (CEM) 計畫。我們始終致力於改善 Expedia Group 的環境,並尋求簡化流程以提高效率,為我們的合作夥伴、客戶和旅客提供一致、優質的服務和互動。
  • 問責:Expedia Group 會制定正式的治理計畫並設立法務/隱私部門,一貫實施政策、行業法規/框架和法律要求,以確保問責監督。

允許資料可攜性和確保刪除的措施

  • Expedia Group 直接對資料保護法規 (包括與資料主體的要求相關的法律) 的狀況負責。Expedia Group 會根據相關資料保護法,回應所有資料主體要求,包括存取、刪除和可攜性。
  • Expedia Group 的資料保留政策根據資料類別規定了不同的保留期間和備份方式,包括要求保留資料至特定法律義務 (例如稅務和會計目的) 消滅為止的法律義務或其他豁免規定。若 Expedia Group 無法銷毀個人資料,Expedia Group 應繼續採用當事人間管理該個人資料之合約的相關保護措施,並終止進一步的處理。

傳輸至 (輔助) 處理者時,亦應說明 (輔助) 處理者為協助管控者以及 (由處理者轉輸至輔助處理者時) 資料匯出者而應採取的具體技術性和組織性措施,

  • Expedia Group 會對供應商的資訊安全實務進行盡職調查,並要求供應商滿足全方位的安全要求,包括應採取並維護適當的技術性和組織性措施。
  • Expedia Group 已正式實施詳細的安全影響評估 (下稱「SIA」) 程序。我們會在委任前以及委託期間內 (如有必要),篩選所有存取資料的新供應商。
  • 此外,Expedia Group 也為所有供應商制定了嚴格的供應商處理者條款,確保輔助處理者承襲本公司的義務。

 

歐盟委員會《標準契約條款》國際資料傳輸附錄

本附錄由資訊專員發布,適用於進行限制傳輸的當事人。資訊專員認為,簽訂為具法律拘束力的契約時,其為限制傳輸提供了適當的保障措施。

第 1 部分 表格

表 1:當事人

開始日期

檢附本附錄之 SCC ( 歐盟 SCC) 的日期。

當事人

主要聯絡人

匯出者:參見歐盟 SCC。

 

匯入者:參見歐盟 SCC。

 

表 2:選定之 SCC、模組和選定之條款

歐盟 SCC 附錄

經過核准並檢附本附錄之歐盟 SCC 的版本。

表 3:附錄資訊

附錄資訊」指必須為經核准之歐盟 SCC 附錄所列的選定模組提供 (「當事人」除外),且為本附錄所要求的資訊:

附件 IA:當事人名單

附件 IB:傳輸說明

附件 II:技術性與組織性措施

參見歐盟 SCC

表 4:經核准之附錄變更時終止本附錄

哪些當事人可按照第 19 節規定終止本附錄

第 3 部分: 強制條款

經核准之附錄的強制條款為 ICO 發布的附錄 B.1.0 範本,根據強制條款第 18 條進行修訂,並根據 2018 年《資料保護法》第 119A 條,於 2022 年 2 月 2 日提交國會審理。